Назад | Перейти на главную страницу

Декапсуляция VMware VDS ERSPAN на Cisco Nexus 7k и зеркальное отображение на локальный порт

Мы настраиваем зеркало / span / rspan / erspan для получения трафика (контроллеры домена работают как виртуальные машины в кластере ESX) на наш сервер Microsoft ATA. Проблема, с которой мы сталкиваемся, заключается в том, что традиционный RSPAN не работает, потому что все одноадресные сообщения блокируются в межсоединениях Fabric шасси UCS (где живет VMware). Некоторый поиск указывает на то, что на самом деле нет способа запустить L2 RSPAN через межсоединение Fabric, а только локальные зеркальные сеансы к / от FI.

Итак, введите ERSPAN, в основном инкапсулируя пакеты в GRE и отправляя их в пункт назначения уровня 3. Это потрясающе работает с wirehark в качестве пункта назначения, потому что он достаточно умен, чтобы отключить GRE и представить пакет. Однако Microsoft ATA «в настоящее время не поддерживает ERSPAN» и требует декапсуляции GRE коммутатором / маршрутизатором.

Что мы сейчас пытаемся сделать, так это настроить назначение ERSPAN на Nexus 7k, затем отслеживать сеанс на физическом интерфейсе и передавать его ATA в виде необработанных пакетов. Кто-нибудь раньше работал с такой конфигурацией? Я нашел пример конфигурации от Cisco, но я не уверен, что указать для идентификатора сеанса eRSPAN, и должен ли он соответствовать чему-либо.

Если не считать настройки хоста linux для завершения GRE, а затем зеркала, есть ли у кого-нибудь идеи?

(Грубая физическая сеть, кластерные FI, кластеризованные 4500x, 1 Nexus 7k, 2 линейные карты).

DC --- VMware --- VDS (источник ERSPAN) ---- Межсоединение фабрики ----- Cisco 4500X ----- Nexus 7k (назначение ERSPAN) --- Microsoft ATA

Вы действительно хотите, чтобы весь этот лишний трафик к контроллерам домена и от них проходил через все это сетевое оборудование? Вся инкапсуляция, декапсуляция и обходная маршрутизация действительно ограничивают вашу пропускную способность и оставляют меньше полосы пропускания для всех других устройств, которым необходимо совместно использовать эту сеть.

Я бы долго и усердно думал о том, как можно просто подключить шлюзы ATA к той же VLAN, что и контроллеры домена. Соотношение шлюзов ATA и контроллеров домена не обязательно должно составлять 1: 1, но, опять же, это определенно может быть.

Вы правы, что Microsoft ATA в настоящее время не поддерживает получение трафика ERSPAN напрямую. Это должен быть декапсулированным первым. Чтобы поддерживать этот тип настройки сети, вам просто нужно иметь чтобы настроить какое-то устройство (хост Linux, коммутатор, маршрутизатор, что-нибудь который был способен декапсулировать трафик ERSPAN) перед его пересылкой на шлюз ATA.

Извините, я знаю, что это единственное, что вы сказали, что не хотите делать, но я не вижу других вариантов.